I sistemi di oggi stanno generando molte registrazionidati. Su molte piattaforme, ogni singolo evento, importante o no, viene registrato da qualche parte. In genere, i registri vengono archiviati localmente. Ciò ha senso poiché i log sono collegati alla loro origine. Ma quando si cerca di risolvere i problemi e trovarne la causa principale, ciò spesso significa che dobbiamo esaminare più file di registro su numerosi dispositivi. Non sarebbe bello se tutti i log di tutti i dispositivi fossero archiviati in un unico posto? La gestione dei registri è questo e molto altro, come stai per scoprirlo. E oggi stiamo esaminando i migliori sistemi di gestione dei log.
Inizieremo cercando di spiegare quale registrola gestione è. Come vedrai, può essere molto più che centralizzare l'archiviazione dei log. Successivamente, parleremo dei protocolli di registrazione. È piuttosto importante poiché la gestione dei registri probabilmente non esisterebbe senza di loro. Proveremo quindi a differenziare i server syslog dai sistemi di gestione dei log. Sfortunatamente, non esiste una chiara demarcazione tra di loro. Seguiremo una discussione sui sistemi di informazioni sulla sicurezza e sulla gestione degli eventi perché questo è un altro tipo di sistema che è spesso confuso con la gestione dei registri, grazie alla definizione alquanto poco chiara di ciascuno. Infine, esamineremo i primi otto sistemi di gestione dei log che siamo riusciti a trovare.
Gestione dei log: cos'è
Prima di parlare della gestione dei log, cerchiamo diguarda cos'è un registro. Semplicemente definito, un registro è la documentazione prodotta automaticamente e timestamp degli eventi rilevanti per un particolare sistema. Ogni volta che si verifica un evento su un sistema, viene generato un registro. Sistemi diversi genereranno registri per eventi diversi e molti sistemi offrono agli amministratori un certo grado di controllo su ciò che genera un registro e cosa no.
Quando parliamo di gestione dei registri, lo siamoriferendosi ai processi e alle politiche utilizzate per amministrare e facilitare la generazione, la trasmissione, l'analisi, l'archiviazione, l'archiviazione e l'eventuale smaltimento di grandi volumi di dati di registro. La gestione dei log implica un sistema centralizzato in cui vengono raccolti i log da più origini.
Ma la gestione dei registri non è solo la raccolta dei registri. La parte gestionale è la più importante. I sistemi di gestione dei log in genere hanno più funzionalità, la raccolta dei log è solo una di queste.
Una volta ricevuti i registri dalla gestione dei registrisistema, devono essere "tradotti" in un formato comune. Diversi sistemi formattano i registri in modo diverso e includono dati diversi nei loro registri. Alcuni iniziano un registro con la data e l'ora, altri lo avviano con un numero di evento. Alcuni includono solo un ID registro, mentre altri includono una descrizione testuale completa dell'evento. Uno degli scopi dei sistemi di gestione dei registri è garantire che tutte le voci di registro raccolte siano archiviate in un formato uniforme. Ciò renderà molto più semplice la ricerca e la correlazione degli eventi.
Parlando di ricerca e persino di correlazione,questa è un'altra importante funzione di molti sistemi di gestione dei log. Alcuni di essi dispongono di un potente motore di ricerca che consente agli amministratori di concentrarsi esattamente su ciò di cui hanno bisogno. Le funzioni di correlazione raggrupperanno automaticamente gli eventi correlati, anche se provengono da fonti diverse. In che modo - e con successo - i diversi sistemi di gestione dei log riescono a costituire un importante fattore di differenziazione.
Protocolli di registrazione
La gestione dei log sarebbe molto più difficile, seper quanto possibile, se non fosse per i protocolli di registrazione. Esistono alcuni che definiscono quali dati devono essere inclusi nei registri, come devono essere formattati e come dovrebbero essere trasmessi tra i sistemi.
Syslog è probabilmente il protocollo di registrazione più utilizzato. Inventato nei primi anni ottanta, è diventato lo standard di fatto per i sistemi simili a Unix. Una delle maggiori risorse del protocollo syslog è il modo in cui separa il software che genera i registri, il sistema che li memorizza e il software che li segnala e li analizza. L'uso del protocollo Syslog semplifica notevolmente la gestione dei registri. Molti dispositivi non Unix come router switch e altre apparecchiature di rete di molti fornitori utilizzano una variante del protocollo syslog.
Microsoft Windows, come avrete intuito, utilizzaun diverso sistema di registrazione. Potrebbe avere a che fare con il fatto che i sistemi operativi e le applicazioni Windows dispongono di registri che in genere contengono molte più informazioni di quelle consentite da syslog. Fortunatamente, le funzioni di Windows Event Collector forniscono un mezzo che i sistemi di gestione dei log possono utilizzare per ricevere eventi dagli host Windows.
Indipendentemente dal protocollo di registrazione utilizzato, unparte importante della gestione dei registri è la configurazione dei dispositivi per l'invio dei registri al sistema di gestione. Ciò è diverso da altri strumenti come i sistemi di monitoraggio della rete, in cui lo strumento recupera i dati dagli host.
Server di registro Vs Gestione dei registri
Dal momento che è stato disponibile su ogni tipo di Unixsistema per un bel po ', Syslog se usato spesso come log server con un computer che riceve i dati syslog da molti altri. Mentre questa memorizzazione centralizzata dei registri presenta vantaggi evidenti, non si tratta della gestione dei registri.
Per meritare il nome del sistema di gestione dei registri, ail prodotto deve includere almeno alcune delle funzioni più avanzate. Secondo Wikipedia, la gestione dei registri comprende le seguenti funzioni: raccolta dei registri, aggregazione centralizzata dei registri, memorizzazione e conservazione dei registri a lungo termine, rotazione dei registri, analisi dei registri, ricerca dei registri e rapporti. I server di log offrono spesso solo la raccolta e l'archiviazione dei log e raramente più di questo. Ciascuno dei sistemi di gestione dei registri nel nostro elenco principale offre almeno alcune delle funzioni più avanzate.
Che ne dici di sistemi SIEM?
Un'altra tecnologia popolare che è spessoassociato ai registri e confuso con i sistemi di gestione dei registri è Security Information and Event Management o SIEM. Questo è abbastanza diverso dalla gestione dei log sebbene sia strettamente correlato. In effetti, alcuni prodotti pubblicizzati come sistemi di gestione dei registri sono in realtà sistemi SIEM mentre alcuni sistemi SIEM di base non sono altro che sistemi di gestione dei registri.
Il motivo principale di questa confusione è quel registrola gestione, o almeno l'analisi dei log, è un componente importante dei sistemi SIEM. In effetti, i sistemi SIEM portano in genere la gestione dei log al livello successivo aggiungendo un po 'di intelligenza al processo. Questi sistemi eseguono analisi dei log con l'obiettivo finale di identificare i problemi di sicurezza. Ad esempio, cercheranno segni di accessi non riusciti che indichino un tentativo di intrusione non autorizzato. Questi sistemi eseguiranno automaticamente la scansione delle voci del registro alla ricerca di qualcosa di insolito.
I sistemi SIEM hanno più a che fare con la sicurezza ITrispetto alla gestione IT e anche se alcuni includono ampie funzionalità di gestione dei registri, molti possono anche utilizzare un sistema di gestione dei registri esterno e non è raro vedere entrambi i sistemi in esecuzione fianco a fianco.
Il miglior software di gestione dei registri
Ora che abbiamo una comprensione comune di cosala gestione dei log è e cosa non lo è, diamo un'occhiata a ciò che è disponibile. Abbiamo cercato sul mercato alcuni dei migliori sistemi di gestione dei log. La nostra prima scoperta è che ce ne sono molti e molti di loro molto buoni. Ma abbiamo solo così tanto spazio, quindi stiamo per rivedere gli otto più interessanti che potremmo trovare.
1. SolarWinds Papertrail
SolarWinds è un nome comune nel campo distrumenti di amministrazione della rete. È in circolazione da quasi 20 anni e ci ha portato uno dei migliori strumenti di monitoraggio della larghezza di banda e uno dei migliori analizzatori e raccoglitori NetFlow. La società è anche nota per la pubblicazione di numerosi strumenti gratuiti che rispondono ad alcune esigenze specifiche degli amministratori di rete come il calcolatore di sottorete o un server syslog.
Alcuni anni fa, SolarWinds ha acquisito Papertrail, un popolare sistema di gestione dei registri. Aggrega i file di registro di una vasta gamma di prodotti popolari come Apache o MySQL, nonché le app Ruby on Rails, diversi servizi di cloud hosting e altri file di registro di testo standard. Papertrail gli utenti possono quindi utilizzare l'interfaccia di ricerca basata sul Web o gli strumenti della riga di comando per cercare tra questi file per diagnosticare bug e problemi di prestazioni. Papertrail si integra anche con altri prodotti SolarWinds come Librato e Geckoboard per la rappresentazione grafica dei risultati.
Papertrail è un software come servizio (SaaS) basato su cloudofferta da SolarWinds. È facile da implementare, utilizzare e comprendere. E ti darà visibilità istantanea su tutti i sistemi in pochi minuti. Lo strumento ha un motore di ricerca molto efficace in grado di cercare registri sia archiviati che in streaming. Ed è velocissimo.
Papertrail è disponibile in diversi piani, incluso uno gratuitoPiano. Tuttavia, è in qualche modo limitato e consente solo 100 MB di log al mese. Consentirà tuttavia 16 GB di log nel primo mese, il che equivale a fornire una prova gratuita di 30 giorni. I piani pagati partono da $ 7 / mese per 1 GB / mese di registri, 1 anno di archivio e 1 settimana di indice. Il filtro antirumore consente allo strumento di conservare i dati non salvando registri inutili.
2. Log e gestore eventi di SolarWinds (PROVA GRATUITA)
La nostra prossima voce è un altro prodotto di SolarWinds chiamato il SolarWinds Log & Event Manager. Contrariamente alla nostra voce precedente, questo è unprodotto installato localmente. Ed è anche molto più di un semplice sistema di gestione dei log. Molte delle funzionalità avanzate di questo prodotto lo inseriscono nella gamma SIEM. Ha una correlazione di sfiato in tempo reale e una correzione in tempo reale, ad esempio.
Ecco una panoramica di Log e gestore eventi di SolarWindsLe caratteristiche principali. Elimina rapidamente le minacce utilizzando il rilevamento istantaneo di attività sospette e risposte automatizzate. Può anche eseguire indagini sugli eventi di sicurezza e analisi forensi per mitigazione e conformità. E parlando di conformità, il prodotto ti consentirà di dimostrarlo, grazie al suo reporting collaudato per HIPAA, PCI DSS e SOX, tra gli altri. Questo strumento ha anche il monitoraggio dell'integrità dei file e il monitoraggio dei dispositivi USB, due caratteristiche che sono molto al di sopra di ciò che comunemente vediamo nei sistemi di gestione dei log.
Prezzi per il Log e gestore eventi di SolarWinds iniziare da $ 4.585 per un massimo di 30 nodi monitorati. È possibile acquistare licenze per un massimo di 2500 nodi che rendono il prodotto altamente scalabile. E se vuoi verificare direttamente che il prodotto è adatto a te, è disponibile una versione di prova gratuita di 30 giorni completa.
3. Suite di gestione dei registri ipswitch
Il Log Management Suite è uno strumento di Ipswitch, la stessa azienda checi ha portato WhatsUp Gold, uno strumento di monitoraggio della rete estremamente popolare. Questo è uno strumento automatizzato che raccoglie, archivia, archivia e salva registri di sistema, eventi di Windows e registri W3C / IIC. Inoltre, la sua continua sorveglianza dei log ti avviserà di eventuali attività sospette.
Eventi frequentemente controllati come diritti di accessoe i privilegi di file, cartelle e oggetti possono essere seguiti, generando allarmi secondo necessità e usati per creare report di conformità per conformità HIPAA, SOX, FISMA, PCI, MiFID o Basel II. Lo strumento può anche aiutarti a trasformare i tuoi dati di log non elaborati in dati significativi per manager o team di sicurezza IT, grazie alle sue funzionalità di filtro, correlazione, reportistica e conversione automatizzate.
Informazioni sui prezzi per il Log Management Suite non è prontamente disponibile da Ipswitch. Il prodotto può essere acquistato direttamente dall'editore o tramite la rete di rivenditori Ipswitch. È disponibile anche una versione di prova gratuita.
4. ManageEngine EventLog Analyzer
ManageEngine, un altro nome comune con l'amministratore di rete, crea un eccellente sistema di gestione dei log chiamato ManageEngine EventLog Analyzer. Il prodotto raccoglierà, gestirà, analizzerà, correlerà e cercherà tra i dati di registro di oltre 700 fonti utilizzando una combinazione di registri combinata o senza agenti e basata su agenti, nonché l'importazione dei registri.
La velocità è una delle ManageEngine EventLog AnalyzerLa forza. È in grado di elaborare i dati dei registri a ben 25.000 registri / secondo e rilevare gli attacchi in tempo reale. Può anche eseguire analisi forensi rapide per ridurre l'impatto di una violazione. Le capacità di controllo del sistema si estendono ai registri dei dispositivi perimetrali di rete, alle attività degli utenti, alle modifiche dell'account del server, agli accessi degli utenti e altro, aiutandoti a soddisfare le esigenze di controllo della sicurezza.
Il ManageEngine EventLog Analyzer è disponibile in un'edizione gratuita ridotta di funzionalitàche supporta solo 5 origini log o in un'edizione premium che parte da $ 595 e varia in base al numero di dispositivi e applicazioni. È inoltre disponibile una versione di prova gratuita di 30 giorni con funzionalità complete.
5. Nagios Log Server
Nagios è noto soprattutto per il suo eccellente software di monitoraggio della rete, ma il suo Log Server è probabilmente altrettanto interessante. Chiamato subito il Nagios Log Server, offre gestione, monitoraggio e analisi dei log centralizzati. Il Nagios Log Server semplifica il processo di ricerca dei dati di registro. Inoltre, consente di impostare avvisi per la notifica di potenziali minacce. Inoltre, il software dispone di elevata disponibilità e failover integrati. Le sue procedure guidate per la configurazione della sorgente consentono di configurare rapidamente i server per inviare tutti i dati dei registri e iniziare a monitorare i registri in pochi minuti .
Il Nagios Log Server consente di correlare facilmente gli eventi di registro tra tuttiserver in pochi clic. E ti consente di visualizzare i dati di registro in tempo reale, dandoti la possibilità di analizzare e risolvere i problemi quando si verificano. Il prodotto presenta un'impressionante scalabilità e continuerà a soddisfare le tue esigenze man mano che la tua organizzazione cresce. addizionale Nagios Log Server le istanze possono essere aggiunte a un cluster di monitoraggio, consentendo di aggiungere rapidamente più potenza, velocità, archiviazione e affidabilità.
Il prezzo a istanza singola per il Nagios Log Server costa $ 3 995 e sebbene una versione di prova gratuita non sembri essere disponibile, è consigliabile una demo online gratuita se si preferisce dare un'occhiata in prima persona al prodotto.
6. Gestione log log degli avvisi
L'obiettivo principale di Alert Logic è la sicurezza e la conformità. E poiché la gestione dei registri è strettamente correlata ad entrambi, non sorprende che la società offra il servizio Gestione log log degli avvisi. Questo strumento basato su cloud offre funzioni automatizzate egestione unificata dei log in tutti i tuoi ambienti. Raccoglierà, aggregherà e cercherà i dati del registro dal cloud, dal server, dall'applicazione, dalla sicurezza e dalle risorse di rete.
Il Gestione log log degli avvisi include anche il monitoraggio e l'analisi dei logrevisione del registro eseguita dal vivo da analizzatori umani. Gli esperti di Logica di avviso ti avvertiranno della possibile attività di minaccia 365 giorni all'anno. Il servizio consentirà inoltre di soddisfare i requisiti di revisione dei registri di SOC 2, HIPAA e SOX e scaricare l'onere della revisione dei registri e del seguito degli eventi, per conformarsi a PCI / DSS 10.6, 10.6.1, 10.6.3
Informazioni sui prezzi per il Gestione log log degli avvisi non è prontamente disponibile sul Web e per ottenere un preventivo formale dovrai contattare le vendite di Logica di avviso. Non è inoltre disponibile una versione di prova gratuita, ma è possibile organizzare una demo gratuita contattando Logica di avviso.
7. LogDNA
Fondata nel 2015, LogDNA è il nuovo bambino sul blocco. La società afferma che "LogDNA è il più veloce, il più intuitivo esistema di gestione dei tronchi economico ”. Tutto inizia con l'installazione che richiede solo un paio di minuti prima che tu possa iniziare a monitorare i tuoi log. Indipendentemente dalla modalità di generazione e trasmissione dei registri, sono disponibili centinaia di schemi di integrazione personalizzati per centralizzare i registri in un singolo riquadro.
LogDNA può essere basato su cloud o self-hosted, a seconda dila tua preferenza. È altamente scalabile e può gestire centinaia di migliaia di registri al secondo e dozzine di terabyte per cliente, al giorno in totale sicurezza con analisi dei registri in tempo reale. L'azienda e i suoi prodotti sono conformi a SOC2, PCI e HIPAA e certificati Privacy Shield.
Con il suo semplice modello di prezzi pay-per-GB cheelimina i contratti e i bucket di dati fissi, l'azienda ha uno dei costi di gestione totali più bassi. Sono disponibili diversi piani di abbonamento con funzionalità in aumento. Il piano di livello inferiore è gratuito e i piani a pagamento variano da $ 1,50 / GB / mese a $ 3 / GB / mese a seconda della durata della conservazione e del numero di utenti. È disponibile anche una versione di prova gratuita di 14 giorni completa.
8. Graylog
Ultimo sul nostro elenco è un prodotto chiamato Graylog. Il prodotto offre molte funzionalità interessanti. Lo strumento analizzerà e arricchirà registri e dati di eventi da qualsiasi origine dati. Le pipeline di elaborazione consentono una certa flessibilità nell'instradamento, nella lista nera, nella modifica e nell'arricchimento dei messaggi in tempo reale. Graylog cercherà terabyte di dati di registro per scoprire e analizzare informazioni importanti. La potente sintassi della ricerca ti consente di trovare esattamente quello che stai cercando.
Con Graylog, puoi creare dashboard per visualizzare le metrichee osservare le tendenze in una posizione centrale. È possibile utilizzare statistiche sul campo, valori rapidi e grafici dalla pagina dei risultati della ricerca per approfondire l'analisi più approfondita dei dati. Il sistema ha anche la possibilità di attivare azioni o inviare notifiche su eventi come tentativi di accesso non riusciti, eccezioni o degrado delle prestazioni.
Graylog è disponibile come gratuito e open-source,versione con funzionalità limitate che ha anche un supporto limitato o come versione aziendale con funzionalità estese e supporto illimitato. Una licenza di prova può essere ottenuta anche contattando Graylog i saldi.
Commenti